1 | # 查看架构 |
选择稳定版or开发版
1 | sudo update-alternatives --config wine |
1 | # 配置窗口 |
1 | wine setup.exe |
1 | # uninstaller 不能完全删除菜单和桌面图标, 必须手动删除 |
-c 断点续传
-t 重试次数, 0 表示不限次数
-T 等待超时时间
-o 保存到目录
-f 连接失败时不显示http错误
-s 静音模式.不输出任何东西
-I 显示 Header 信息, 但是不能和 -F (上传文件) 一起使用
-S 显示错误
-L 当页面有跳转的时候, 输出跳转到的页面
-d POST方式传送数据
-A user-agent
-H header key:value
-X method
-k 不效验 https 证书
-c cookie.txt 将 cookie 保存到 cookie.txt
-b cookie.txt 使用 cookie.txt 的内容做为 cookie
-o 指定输出路径, - 表示输出到控制台
1 | # curl ipinfo.io |
1 | curl -x socks5://127.0.0.1:1080 http://www.baidu.com |
1 | # 删除老版本 |
通过修改镜像源地址, 加快镜像下载速度.
镜像源配置文件是: /etc/docker/daemon.json
不同环境可查看 https://www.daocloud.io/mirror#accelerator-doc
在linux下使用如下命令配置:
1 | curl -sSL https://get.daocloud.io/daotools/set_mirror.sh | sh -s http://85ad13ff.m.daocloud.io |
注册 https://cr.console.aliyun.com/
之后访问 https://cr.console.aliyun.com/#/accelerator
获得专属加速器
/etc/docker/daemon.json
1 | { |
1 | sudo systemctl daemon-reload |
1 | docker run --net=bridge |
可能会需要镜像太多, 或者磁盘分配太小, 之后导致无法再下载镜像,或者容器无法启动.
我们可能需要将镜像存储位置移动到其他文件目录下.
默认镜像存储位置是 /var/lib/docker
1 | # 通过该命令查看默认镜像存储位置 |
1 | # 停止服务 |
在 /etc/default/docker 中修改
DOCKER_OPTS="-g /home/raven/Package/docker"
之后重启服务
或者 修改 /etc/docker/daemon.json
{“registry-mirrors”: [“http://***.***.com”],“graph”:"/home/raven/Packages/docker"}
修改后立即生效
以下 3 个工具都能通过文件配置管理与发布 Docker 容器.
Docker Compose 只能管理当前主机上的容器
Docker Swarm 能管理多主机上的容器, 是由 Docker 公司开发的
Kubernates 也能管理多主机上的容器, 是有谷歌开发的.
Kubernates 比 Docker Swarm 更主流有点, 目前很多大公司使用它作为默认容器管理工具.
在部署docker应用, 应用编排时都需要指定一个内存的最大使用上限.
如果应用使用的内存超过了配额, 镜像会被kill掉.
所以java微服务应用, 有必要设置应用自己的最大内存.
docker镜像服务的内存不能全部给 -Xmx , 因为JVM消耗的内存不仅仅是Heap.
JVM = Heap + Method Area +Constant Pool + Thread Stack * num of thread .
Xmx的值可设置为镜像上限减去150m或200m.
当然还需要考虑应用自身的特点, 比如class数目, 并发线程数等.
通过 cgroups 动态获取容器资源配置
1 | # git memory limit size |
解决办法, 调整容器分配的内存到 1280m , 调整jvm分配的内存, 大致参数如下:
-Xms512m -Xmx512m -XX:ReservedCodeCacheSize=128m -XX:+UseCodeCacheFlushing -XX:MetaspaceSize=192m -XX:MaxMetaspaceSize=192m -XX:MaxDirectMemorySize=64m
明确已知内存 512m + 128m + 192m + 64m 共 896m,
另外线程预留 128m (预留 200线程, 每线程 512k)
剩余 256m 作为余量
1 | npm install -g hexo-cli |
1 | d, deploy Deploy your website. |
1 | cnpm i -S hexo-abbrlink hexo-pdf hexo-deployer-git hexo-generator-searchdb hexo-footnotes hexo-tag-plantuml hexo-tag-echarts3 hexo-heading-index |
next-Pisces 主题简洁大方, 功能丰富, 翻了多个主题, 就这个最方便了.
自带 mathjax.
1 | cd $blog_dir |
之后添加 ${your-blog}/source/_posts/_data/next.yml, 用于覆盖 theme/next/_config.yml
1 | math: |
1 | cnpm un -S hexo-renderer-marked |
mathjax: true之后在博客文件正文就可以写数学表达式了, 如:
1 | 单行数学表达式: |
1 | ! ! — 惊叹号 Exclamation mark |
1 | # nvm 安装 |
类封装了信息和行为, 是面向对象的重要组成部分, 它是具有相同属性, 操作, 关系对象集合的总称.
在系统中, 每个类都应该具有一定的职责, 职责是指类锁担任的任务. 一个类可以有多个职责, 但设计得好的类一般只有一种职责.
在定义类时, 当类的职责分解为类的属性和操作, 其中属性用于封装数据, 操作用于封装行为.
设计类时面向对象设计中最重要的组成部分, 也是最复杂和最耗时的部分.
在软件系统运行时, 类将被实例化成对象, 对象对应于某个具体的事物. 类是对一组具有相同属性, 表现相同行为的抽象, 对象是类的实例.
按关系的强弱程度依次为: 泛化 = 实现 > 组合 > 聚合 > 关联 > 依赖
is-a
是一种继承关系, 表示一般与特殊的关系.它指定了子类如何特例化父类的所有特征和行为.
代码体现: extends
实线, 空心三角箭头指向父类
is-a
接口的实现, 是类与接口的关系, 表示接口所有特征和行为的实现.
代码体现: implements
虚线, 空心三角箭头指向接口
has-a
拥有关系, 是关联关系的一种特例, 整体与部分的关系, 且部分可以离开整体而单独存在.
代码体现: 成员变量
实线, 空心菱形箭头指向整体, 普通箭头指向部分
contains-a
拥有关系, 也是关联关系的一种特例, 整体与部分的关系, 但部分不能离开整体而单独存在.它具有比聚合更强的拥有关系, 强调整体与部分的生命周期是一致的.
代码体现: 成员变量
实线, 实心菱形箭头指向整体, 普通箭头指向部分
拥有关系, 它使一个类知道另一个类的属性和方法.
代码体现: 成员变量
实线, 普通箭头指向被拥有者, 可以是单向的, 也可以是双向的, 甚至是自关联.
use-a
是一种使用的关系, 即一个类的实现需要另一个类的协助, 所以要尽量不使用双向的互相依赖.
代码体现: 局部变量, 方法的参数或者对静态方法的调用
虚线, 普通箭头指向被使用者
UML specification categorizes association as semantic relationship. Some other UML sources also categorize association as a structural relationship.
Wikipedia states that association is instance level relationship and that associations can only be shown on class diagrams.
Not sure where they got that information from but it is not based on UML specification. Association could be used on different types of UML structure diagrams
加密算法可分: 可逆算法和不可逆算法, 其中可逆算法又可分: 对称加密和非对称加密.
对称加密
指加密和解密使用相同密钥的加密算法.对称加密算法的优点在于加解密的高速度和使用长密钥时的难破解性.假设两个用户需要使用对称加密方法加密然后交换数据, 则用户最少需要2个密钥并交换使用, 如果企业内用户有n个, 则整个企业共需要n×(n-1) 个密钥, 密钥的生成和分发将成为企业信息部门的恶梦.对称加密算法的安全性取决于加密密钥的保存情况, 但要求企业中每一个持有密钥的人都保守秘密是不可能的, 他们通常会有意无意的把密钥泄漏出去——如果一个用户使用的密钥被入侵者所获得, 入侵者便可以读取该用户密钥加密的所有文档, 如果整个企业共用一个加密密钥, 那整个企业文档的保密性便无从谈起.
常见的对称加密算法: DES, 3DES, DESX, Blowfish, IDEA, RC4, RC5, RC6和AES
非对称加密
指加密和解密使用不同密钥的加密算法, 也称为公私钥加密.假设两个用户要加密交换数据, 双方交换公钥, 使用时一方用对方的公钥加密, 另一方即可用自己的私钥解密.如果企业中有n个用户, 企业需要生成n对密钥, 并分发n个公钥.由于公钥是可以公开的, 用户只要保管好自己的私钥即可, 因此加密密钥的分发将变得十分简单.同时, 由于每个用户的私钥是唯一的, 其他用户除了可以可以通过信息发送者的公钥来验证信息的来源是否真实, 还可以确保发送者无法否认曾发送过该信息.非对称加密的缺点是加解密速度要远远慢于对称加密, 在某些极端情况下, 甚至能比非对称加密慢上1000倍.
常见的非对称加密算法: RSA, ECC(移动设备用), Diffie-Hellman, El Gamal, DSA(数字签名用)
Hash算法
Hash算法特别的地方在于它是一种单向算法, 用户可以通过Hash算法对目标信息生成一段特定长度的唯一的Hash值, 却不能通过这个Hash值重新获得目标信息.因此Hash算法常用在不可还原的密码存储, 信息完整性校验等.
常见的Hash算法: MD2, MD4, MD5, HAVAL, SHA, SHA-1, HMAC, HMAC-MD5, HMAC-SHA1
加密算法的效能通常可以按照算法本身的复杂程度, 密钥长度(密钥越长越安全), 加解密速度等来衡量.上述的算法中, 除了DES密钥长度不够, MD2速度较慢已逐渐被淘汰外, 其他算法仍在目前的加密系统产品中使用.
加密算法的选择
前面的章节已经介绍了对称解密算法和非对称加密算法, 有很多人疑惑: 那我们在实际使用的过程中究竟该使用哪一种比较好呢?
我们应该根据自己的使用特点来确定, 由于非对称加密算法的运行速度比对称加密算法的速度慢很多, 当我们需要加密大量的数据时, 建议采用对称加密算法, 提高加解密速度.
对称加密算法不能实现签名, 因此签名只能非对称算法.
由于对称加密算法的密钥管理是一个复杂的过程, 密钥的管理直接决定着他的安全性, 因此当数据量很小时, 我们可以考虑采用非对称加密算法.
在实际的操作过程中, 我们通常采用的方式是: 采用非对称加密算法管理对称算法的密钥, 然后用对称加密算法加密数据, 这样我们就集成了两类加密算法的优点, 既实现了加密速度快的优点, 又实现了安全方便管理密钥的优点.
如果在选定了加密算法后, 那采用多少位的密钥呢?一般来说, 密钥越长, 运行的速度就越慢, 应该根据的我们实际需要的安全级别来选择, 一般来说, RSA建议采用1024位的数字, ECC建议采用160位, AES采用128为即可.
算法选择(从性能和安全性综合)
对称加密: AES(128位),
非对称加密: ECC(160位)或RSA(1024),
消息摘要: MD5
数字签名:DSA
// todo
crc16 crc32
Secure Hypertext Transfer Protocol, 安全超文本传输协议.
是使用 TLS/SSL 加密的 HTTP 协议, 是 HTTP 的安全版.
TLS/SSL 协议, 即安全传输层协议, 是介于 TCP 和 HTTP 之间的一层安全协议, 不影响原有的 TCP 协议和 HTTP 协议.
TLS/SSL 协议提供服务的主要有:
TLS/SSL 可分为2层:
TLS/SSL的功能实现主要依赖于三类基本算法: 散列函数 Hash, 对称加密和非对称加密, 其利用非对称加密实现身份认证和密钥协商, 对称加密算法采用协商的密钥对数据加密, 基于散列函数验证信息的完整性.
即常见的 RSA 算法, 还包括 ECC, DH 等算法.
算法特点是, 密钥成对出现, 一般称为公钥(公开)和私钥(保密), 公钥加密的信息只能私钥解开, 私钥加密的信息只能公钥解开.
因此掌握公钥的不同客户端之间不能互相解密信息, 只能和掌握私钥的服务器进行加密通信, 服务器可以实现1对多的通信, 客户端也可以用来验证掌握私钥的服务器身份.
非对称加密的特点是信息传输1对多, 服务器只需要维持一个私钥就能够和多个客户端进行加密通信, 但服务器发出的信息能够被所有的客户端解密, 且该算法的计算复杂, 加密速度慢.
常见的有 AES-CBC, DES, 3DES, AES-GCM等, 相同的密钥可以用于信息的加密和解密, 掌握密钥才能获取信息, 能够防止信息窃听, 通信方式是1对1.
对称加密的优势是信息传输1对1, 需要共享相同的密码, 密码的安全是保证信息安全的基础, 服务器和 N 个客户端通信, 需要维持 N 个密码记录, 且缺少修改密码的机制.
常见的有 MD5, SHA1, SHA256, 该类函数特点是函数单向不可逆, 对输入非常敏感, 输出长度固定, 针对数据的任何修改都会改变散列函数的结果, 用于防止信息篡改并验证数据的完整性.
在信息传输过程中, 散列函数不能单独实现信息防篡改, 因为明文传输, 中间人可以修改信息之后重新计算信息摘要, 因此需要对传输的信息以及信息摘要进行加密.
结合三类算法的特点, TLS的基本工作方式是, 客户端使用非对称加密与服务器进行通信, 实现身份验证并协商对称加密使用的密钥, 然后对称加密算法采用协商密钥对信息以及信息摘要进行加密通信, 不同的节点之间采用的对称密钥不同, 从而可以保证信息只能通信双方获取.
Client Hello
客户端发起请求, 以明文传输请求信息, 包含信息有:
服务端返回协商的结果, 包含信息有:
服务端配置对应的证书链发送给客户端, 用于身份效验与密钥交换.
服务端通知客户端 Server Hello 发送结束.
对于非常重要的信息, 服务端需要对客户端进行验证, 保证数据传送给了安全合法的客户端.
服务端发送 client_certificate_request 标识, 请求验证客户端证书.
Certificate Verify
客户端验证证书合法性.
如果验证通过才会进行后续通信, 否则根据错误情况不同做出提示和操作.
如果服务端需要验证客户端证书, 即双向认证.
认证方式基本相同, 客户端发送 client_certificate 与 certificate_verify_message.
certificate_verify_message 是采用client的私钥加密以及协商的通信信息得到数据, 服务端采用对应的公钥解密并验证.
客户端计算产生随机数 pre_master_secret, 并用证书公钥加密, 发送给服务端.
此时客户端已经获得计算协商密钥的全部信息:两个明文随机数 random_client 与 random_server, 以及自己计算产生的 pre_master_secret
计算得到协商密钥: session_secret = encrypt(random_client, random_server, pre_master_secret)
发送 change_cipher_spec 标识, 用于通知服务端后续的通信采用协商的通信密钥和加密算法进行.
客户端结合之前所有通信参数的 hash 值与其他相关信息生成一段数据, 采用协商密钥 session_secret 与算法进行加密, 然后发送给服务器用于数据与握手验证.
服务端用证书私钥解密加密的 pre_master_secret, 并计算出 session_secret.
服务端计算之前所有接收信息的hash值, 然后解密客户端发送的 encrypt_handshake_message, 验证数据和密钥正确性.
服务端验证通过后, 统一发送 change_cipher_spec, 通知客户端后续的通信采用协商的通信密钥和加密算法进行.
服务端也结合之前所有通信参数的 hash 值与其他相关信息生成一段数据, 采用协商密钥 session_secret 与算法进行加密, 然后发送给客户端.
客户端同样计算并验证 encrypt_handshake_message, 验证通过则握手完成.
开始使用协商密钥和算法进行通信.
密钥计算流程如下:
密钥经过12轮迭代计算会获得12个hash值, 分组成为6个元素, 列表如下:
其中, Mac Key 用于完整性效验, Encryption Key 用于对称加密, IV 作为加密算法的初始化向量.
用法如下:
pre_master_secret 前2个字节是TLS版本号
这是一个比较重要的用来核对握手数据的版本号.
因为在 Client Hello 阶段, 客户端会发送一份加密套件列表和定钱支持的 TLS/SSL 的版本号给服务端, 而且是使用明文传送的, 如果握手的数据包被破解后, 攻击者恒可能串改数据包, 选择一个安全性较低的加密太监和版本给服务端, 从而对数据进行破坏.
所以, 服务端需要对密文中解密出来的 pre_master_secret 版本号跟之前 Client Hello 阶段的版本号进行比对, 如果版本号变低, 则立即停止发送任何消息.
不管客户端还是服务端, 都需要随机数, 这样生成的密钥才不会每次都一样.
由于 TLS/SSL 协议中证书是静态的, 因此十分有必要引入一种随机因素来保证协商出来的密钥的随机性.
对于 RSA 密钥交换算法来说, pre_master_secret 本身就是一个随机数, 再加上 hello 消息中的随机, 三个随机数通过一个密钥导出器最终导出一个对称密钥.
pre_master_secret 的存在在于 SSL 协议不信任每个主机都能产生完全随机的随机数, 如果随机数不随机, 那么 pre_master_secret 就有可能被猜出来, 那么仅适用 pre_master_secret 作为密钥就不合适了, 因此必须引入新的随机因素, 那么客户端和服务器加上 pre_master_secret 三个随机数一同生成的密钥就不容易被猜出了, 一个伪随机可能完全不随机, 可是三个伪随机就十分接近随机了, 每增加一个自由度, 随机性增加的可不是一.
对应用层数据进行分片成合适的block
为分片数据编号, 防止重放攻击
HTTPS的优点在于:
HTTPS付出代价便是增加了性能损耗, 主要体现在:
增加延时
一次完整的握手至少需要两端来回2次通信, 即至少增加延时 2 * RTT; 即使利用会话缓存从而复用连接, 延时也至少增加 1 * RTT.
CPU资源消耗更多
非对称算法 RSA 解密能力是当前困扰HTTPS接入的主要难题.
CDN接入
HTTPS 增加的延时主要是传输延时 RTT, RTT 的特点是节点越近延时越小, CDN 天然离用户最近, 因此选择使用 CDN 作为 HTTPS 接入的入口, 将能够极大减少接入延时.
CDN 节点通过和业务服务器维持长连接, 会话复用和链路质量优化等可控方法, 极大减少 HTTPS 带来的延时.
会话缓存
虽然前文提到 HTTPS 即使采用会话缓存也要至少1*RTT的延时, 但是至少延时已经减少为原来的一半, 明显的延时优化;
同时, 基于会话缓存建立的 HTTPS 连接不需要服务器使用 RSA 私钥解密获取 pre_master_secret 信息, 可以省去 CPU 的消耗.
如果业务访问连接集中, 缓存命中率高, 则HTTPS的接入能力讲明显提升.
当前 TRP 平台的缓存命中率高峰时期大于 30%, 10k/s 的接入资源实际可以承载13k/s 的接入, 收效非常可观.
硬件加速
为接入服务器安装专用的SSL硬件加速卡, 作用类似 GPU, 释放 CPU, 能够具有更高的 HTTPS 接入能力且不影响业务程序的.
测试某硬件加速卡单卡可以提供35k的解密能力, 相当于175核 CPU, 至少相当于7台24核的服务器, 考虑到接入服务器其它程序的开销, 一张硬件卡可以实现接近10台服务器的接入能力.
远程解密
本地接入消耗过多的 CPU 资源, 浪费了网卡和硬盘等资源, 考虑将最消耗 CPU 资源的 RSA 解密计算任务转移到其它服务器, 如此则可以充分发挥服务器的接入能力, 充分利用带宽与网卡资源.
远程解密服务器可以选择 CPU 负载较低的机器充当, 实现机器资源复用, 也可以是专门优化的高计算性能的服务器.
当前也是 CDN 用于大规模HTTPS接入的解决方案之一.
SPDY/HTTP2
前面的方法分别从减少传输延时和单机负载的方法提高 HTTPS 接入性能, 但是方法都基于不改变 HTTP 协议的基础上提出的优化方法, SPDY/HTTP2 利用 TLS/SSL 带来的优势, 通过修改协议的方法来提升 HTTPS 的性能, 提高下载速度等.